Dopo aver portato sul blog diversi tutorial, oggi siamo tornati a parlare di sicurezza informatica. Più precisamente, come avrai potuto aver letto dal titolo, oggi parliamo della posta elettronica alice.it, uno dei servizi di posta elettronica di riferimento di telecom italia, o tim per la precisione, dato che è tim che gestisce tutta la parte internet di Telecom.
Parliamo di questo servizio di posta elettronica per andare a vedere, nel dettaglio, che cosa non vada bene. E non sto parlando di funzionalità, ma sto parlando di sicurezza. Prima di iniziare, però, dobbiamo spiegare alcune doverose cose.
Preambolo
Io non sono un utente che utilizza questo servizio di posta elettronica. Mi sono solo aperto un account quando ho attivato la mia linea fissa Tim. Ho aperto questo account dato che è incluso in regalo con il contratto di linea fissa.
Io non ho mai usato questo servizio per due semplici ragioni: La prima è che non mi serve un altro account di posta elettronica. Ne gestisco anche troppi e averne uno in più non farebbe altro che complicarmi la vita ulteriormente (per quanto riguarda la lettura della posta elettronica ovviamente). La seconda motivazione è che non ho mai ritenuto questo servizio all’altezza del nostro periodo. I loro sistemi, a partire dalla stessa interfaccia di gestione dell’account, fino ad arrivare all’infrastruttura funzionale del servizio, non sono al passo con i tempi. Cosa che fa perdere diversi punti al servizio stesso. Nel 2017 ci si aspetta da un qualsiasi servizio online, in special modo un servizio offerto da un’azienda così importante come Telecom, diverse caratteristiche fondamentali, che vanno da un buon sistema di criptazione dei messaggi, a una buona grafica, a delle funzioni aggiuntive, come un calendario dove sia possibile segnare i propri impegni, una rubrica facile da consultare e da aggiornare, dove sia possibile inserire tutti i propri contatti personali o lavorativi. Insomma, un servizio completo di tutta una serie di strumenti che ai nostri giorni, a differenza di qualche anno fa, sono ritenuti di base.
Come faccio a parlare di Alice, se non uso questo servizio?
Probabilmente alcuni di voi, che staranno leggendo questo post, si staranno ponendo, giustamente, questa domanda. La mia risposta è molto semplice: io non uso questo servizio, ma dato che il mio lavoro è riparare i computer dei miei clienti o aiutarli nella configurazione di diverse soluzioni informatiche, mi è capitato più di una volta di dover configurare la posta elettronica alice, in un programma di gestione della posta elettronica stessa, per esempio Thunderbird. Lo so, operazioni che sembrano banali, ma che per molte persone non lo sono affatto, e magari hanno bisogno di una mano per non rischiare di commettere errori.
Cosa ha portato a scrivere questo post?
Questa probabilmente è la seconda domanda che ti starai ponendo in questo momento. La risposta anche in questo caso, è molto semplice. Mentre stavo configurando, per un cliente, la posta elettronica Alice su Thunderbird scopro due cose che non dovrebbero esistere in un servizio che sia abilitato per ricevere o inviare email.
Per prima cosa ho notato che il protocollo imap o pop3 (i due tipi di protocolli, di cui il primo moderno e usato attualmente e il secondo datato e ormai poco usato), protocolli che gestiscono la posta elettronica in ingresso, non cripta minimente i messaggi. Semplicemente quando l’utente riceve un’email, la riceve in chiaro. Chiunque potrebbe usare uno sniffer, piccolo software illegale che si può inserire nella connessione di una persona tramite un virus, per leggere tutte le mail in ingresso e inviarne una copia alla persona proprietaria dello sniffer stesso, quindi inviarla al malintenzionato. Così facendo, la persona con cattive intenzioni, non solo può ledere alla vostra privacy, ma anche a quella dei vostri contatti. Per un’azienda questo sarebbe il male peggiore. Si creerebbe un sistema di concorrenza sleale che forse nessuno, neppure io, può mai arrivare a pensare a cosa si verrebbe a creare. Anche per un privato diciamo che non è il massimo. Mettiamo conto che un vostro contatto vi invii per email, con degli allegati dei documenti importanti. Ecco: lasciate andare la vostra immaginazione, per poter quindi pensare che cosa potrebbe farne, di quei documenti, una persona che sorveglia la vostra posta elettronica.
Anche il protocollo smtp, ovvero il protocollo che gestisce la posta elettronica inviata, che quindi vi permette di inviare messaggi di posta elettronica, non cripta nulla. Quindi, come nel caso del protocollo imap e pop3, è possibile intercettare i vostri messaggi di posta.
Ma i problemi non finiscono qui. Se non vengono criptati i messaggi al momento della ricezione e al momento dell’invio, mi viene da dedurre, che a questo punto, se i messaggi vengono ricevuti in chiaro, molto probabilmente sono salvati all’interno dei server di alice.it, in chiaro. Quindi con un attacco hacker ben fatto e strutturato, un malintenzionato potrebbe rubare i messaggi e gli indirizzi di posta elettronica di milioni di persone. Questo già vi fa capire la gravità della situazione e quindi del motivo per cui oggi sto impiegando parte del mio tempo in questo mio post.
I problemi sono finiti qui?
Vi statere chiedendo, molto probabilmente, se questi sono tutti i problemi che affliggono questa posta elettronica. No, non sono solo questi. Se vi dicessi che ce n’è uno ancora più grave? E che è ancora più preoccupante di tutti quelli descritti in precedenza? Eh si, vediamo insieme.
Poco tempo fa, da un mio cliente, aveva bisogno di controllare alcune impostazioni del suo account alice. E quando ha aperto il proprio account, nella scheda impostazioni, nella parte delle impostazioni generali, ho visto una cosa che mi ha fatto rimanere a bocca aperta. Ma giuro, al che il mio cliente mi ha chiesto se era tutto ok. Io ho fatto finta di niente e gli ho solo risposto che avrebbe dovuto cambiare la password per sicurezza. Infatti era una password un po’ troppo debole. Il problema è: come ho fatto a vedere la sua password? Me l’ha forse dettata lui? La risposta è no. La password era stampata a video nella schermata delle impostazioni. Chiunque sappia minimamente come funziona un database, capisce al volo che se è possibile stampare a videro la password, vuol dire che la stessa password o è salvata in chiaro nel database, cosa che è micidiale per la sicurezza, o che l’algoritmo che cripta la password è reversibile, ovvero permette a chiunque, capendo la logica dell’algoritmo stesso, di decriptare la password. Cosa che è altrettanto micidiale per la sicurezza.
Quindi con un bell’attacco hacker ben fatto non solo un malintenzionato può rubare un numero di indirizzi di posta elettronica imbarazzante, ma può rubare i dati di accesso degli account alice. E magari impossessarsi di tali account per fare tante cose poco piacevoli.
Le problematiche di sicurezza
Nel mio blog abbiamo spesso trattato di argomenti molto interessanti per quanto riguarda l’aspetto di sicurezza informatica. Ora, questo servizio di posta elettronica diciamo che viola tutto ciò di cui ho spiegato nei miei post e video. Al giorno d’oggi la sicurezza informatica è tutto. Già un sistema ultra sicuro è penetrabile in un qualche modo. Poi se mettiamo come aggravante un sistema di gestione dati che non è affatto sicuro… beh praticamente è come se lasciassimo ad un ladro la porta aperta con un cartella con scritto “entra pure!“.
Quindi in definitiva
In questo articolo ho voluto spiegare nella maniera più semplice possibile una problematica che riguarda in generale tantissimi milioni di utenti. Sia chi usa direttamente il servizio alice mail, sia chi invia email hostate su alice.
Però questo articolo non deve servire solo a spiegare delle mancanze strutturali ingiustificabili, da parte dell’azienda che ha aperto il servizio. Questo post deve servire in generale a tutti gli utenti, che dovranno stare più attenti alla propria privacy.
In conclusione
In conclusione io ti ringrazio per aver letto fino in fondo questo post. Spero tanto che ti sia stato utile e interessante.
Con questo è tutto! Ti aspetto ad un prossimo post, ciao!
